Proceso ips engine

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Marto2284
Mensajes: 3
Registrado: 27 Feb 2009, 18:25

Proceso ips engine

Mensaje por Marto2284 »

Hola,

detecte que el proceso ipsengine utiliza la cpu al 99% y me hace perder la coneccion a internet, por lo que debo reiniciar el equipo para que funcione normalmente.
Saben cual puede ser el problema??

gracias.
Saludos
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Proceso ips engine

Mensaje por gabyrossi »

Hola, como estas? que fortigate usas? que firmware estas usando? y como tenes activo el ips?

saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
Marto2284
Mensajes: 3
Registrado: 27 Feb 2009, 18:25

Re: Proceso ips engine

Mensaje por Marto2284 »

Hola,

el forti es un 100A, con el firmware 3.0 mr7, y la protecion ips se utiliza en un protection profile que se aplica a las reglas de firewall de navegación web y envio de mails.

Saludos!
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Proceso ips engine

Mensaje por gabyrossi »

Hola, como estas? es mr7 patch 2? build 733??? y como generaste el ips? para bloquear que cosa?

saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
Marto2284
Mensajes: 3
Registrado: 27 Feb 2009, 18:25

Re: Proceso ips engine

Mensaje por Marto2284 »

Hola,

gracias por la atención, pude solucionar el problema. El equipo tenia mucho tráfico y en todas se aplicaba la protección ips analizando todo tipo de firmas, por lo q solo le deje para que busque las firmas criticas y high, asi el equipo no volvio a saturarse.

Saludos
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Proceso ips engine

Mensaje por gabyrossi »

Hola, muchas veces no en todas las politicas utilizas ips, muchas de las veces las usas en politicas entrantes desde internet.

por lo que contas usas algun firmwate antiguo, podrias actulizarlo.

saludos
Gabriel
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
orlando30
Mensajes: 4
Registrado: 13 Abr 2016, 16:01

Re: Proceso ips engine

Mensaje por orlando30 »

Buen Día Rosi,

Tengo un fortigate 80 el cual tenía la versión 4.3.18 con un consumo de 40%, actualice el firmware a la versión 5.0.11 y el mismo ha incrementado la memoria a un 78% incluso llega a entrar a modo conservador. Que recomiendas, a que se debe esto, como lo podemos solucionar.

FORTIGATE-CELMAR-PA # get system performance status
CPU states: 3% user 7% system 0% nice 90% idle
CPU0 states: 3% user 7% system 0% nice 90% idle
Memory states: 78% used
Average network usage: 9418 kbps in 1 minute, 9143 kbps in 10 minutes, 8806 kbps in 30 minutes
Average sessions: 699 sessions in 1 minute, 713 sessions in 10 minutes, 789 sessions in 30 minutes
Average session setup rate: 6 sessions per second in last 1 minute, 5 sessions per second in last 10 minutes, 6 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 0 days, 0 hours, 16 minutes

FORTIGATE-CELMAR-PA # get system performance top
Run Time: 0 days, 0 hours and 12 minutes
18U, 0N, 6S, 76I; 499T, 108F, 125KF
httpsd 111 S 15.3 3.7
httpsd 146 S 2.9 3.4
proxyworker 60 S 0.9 2.3
ipsengine 153 S < 0.4 8.5
newcli 159 R 0.4 2.4
ipsengine 152 S < 0.0 8.4
ipsengine 155 S < 0.0 8.4
ipsengine 154 S < 0.0 8.3
pyfcgid 105 S 0.0 5.7
pyfcgid 104 S 0.0 5.6
pyfcgid 103 S 0.0 5.1
pyfcgid 56 S 0.0 4.1
miglogd 53 S 0.0 3.7
cmdbsvr 33 S 0.0 3.6
httpsd 107 S 0.0 3.6
sslvpnd 80 S 0.0 3.2
httpsd 55 S 0.0 2.8
httpsd 106 S 0.0 2.8
iked 84 S 0.0 2.6
scanunitd 101 S < 0.0 2.4
orlando30
Mensajes: 4
Registrado: 13 Abr 2016, 16:01

Re: Proceso ips engine

Mensaje por orlando30 »

Sesiones

FORTIGATE-CELMAR-PA # diag sys session full-stat
session table: table_size=262144 max_depth=1 used=1214
misc info: session_count=555 setup_rate=6 exp_count=0 clash=0
memory_tension_drop=0 ephemeral=0/32768 removeable=0
delete=0, flush=0, dev_down=0/0
TCP sessions:
263 in ESTABLISHED state
9 in TIME_WAIT state
3 in CLOSE state
11 in CLOSE_WAIT state
firewall error stat:
error1=00000000
error2=00000000
error3=00000000
error4=00000000
tt=00000000
cont=000017e5
ids_recv=000063ab
url_recv=00000000
av_recv=000b3db1
fqdn_count=00000001
tcp reset stat:
syncqf=278 acceptqf=0 no-listener=36 data=0 ses=0 ips=0
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Proceso ips engine

Mensaje por gabyrossi »

hola, si haces diag sys top
que es lo que mas consume? que usas de utm?

Revisa este link:

[Debes identificarte para poder ver enlaces.]
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
orlando30
Mensajes: 4
Registrado: 13 Abr 2016, 16:01

Re: Proceso ips engine

Mensaje por orlando30 »

ips engine pareciera que es el que consume mas. Cuando detengo este servicio baja mi fortigate a 50% de memoria.

UTM:antivirus,email filter,instrusion protection,webfilter,vpn,advance routing,certificates,dns database,implicit firewall policies,load balance,multiple security profile,Policy-based IPsec VPN,SSL-VPN Custom Login Page, SSL-VPN Personal Bookmark Management.
orlando30
Mensajes: 4
Registrado: 13 Abr 2016, 16:01

Re: Proceso ips engine

Mensaje por orlando30 »

Gaby,

Que función tiene el ipsengine? en que me puede afectar tener este servicio detenido?

Utilice el comando diag test app ipsmonitor 98 para deternerlo.

baje a 57%

proxyworker 60 S 0.9 2.2
newcli 453 R 0.4 2.4
pyfcgid 305 S 0.0 5.9
pyfcgid 303 S 0.0 5.8
pyfcgid 304 S 0.0 5.7
httpsd 111 S 0.0 4.6
pyfcgid 301 S 0.0 3.9
httpsd 107 S 0.0 3.8
miglogd 53 S 0.0 3.8
cmdbsvr 33 S 0.0 3.6
sslvpnd 80 S 0.0 3.3
httpsd 450 S 0.0 3.0
httpsd 55 S 0.0 2.8
httpsd 106 S 0.0 2.8
scanunitd 256 S < 0.0 2.7
iked 84 S 0.0 2.6
fgfmd 95 S 0.0 2.4
newcli 448 S 0.0 2.4
cw_acd 96 S 0.0 2.2
scanunitd 257 S < 0.0 2.2
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Proceso ips engine

Mensaje por gabyrossi »

hola, ese proceso maneja al IPS y al Application control-.
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
Facundo_Ezequiel
Mensajes: 10
Registrado: 24 Jul 2018, 18:04

Re: Proceso ips engine

Mensaje por Facundo_Ezequiel »

Hola, estoy experimentando el mismo problema, me estoy encontrando hace dos mañanas que la memoria esta al limite y no hay acceso a Internet, una vez que reinicio el ipsmonitor baja la memoria y queda estable, Ya genere un ticket en Soporte para que me asesoren con una respuesta.
mi pregunta es ¿que consecuencias puedo tener si desactivo el ips para que no me sature la memoria?

Gracias Saludos
Avatar de Usuario
makco10
Mensajes: 1307
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Proceso ips engine

Mensaje por makco10 »

Hola,

Si lo desactivas no tendrás el escaneo constante de vulnerabilidades/intrusos para tus servidores. En todo caso limitalo nada mas para tus servidores críticos por el momento.

Revisa estos links:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall
Facundo_Ezequiel
Mensajes: 10
Registrado: 24 Jul 2018, 18:04

Re: Proceso ips engine

Mensaje por Facundo_Ezequiel »

Gracias por tu respuesta! solo 2 politicas lo tienen activo, y una es un servidor,
Cerrado